内容摘要:现存的安全策略、工具、方法必须改进以面对这些新的威胁。一种有效的网络防御系统需要控制所有影响企业的无线网络活动的能力。本文将保障企业无线网络安全的难题分为五个基本的步骤。从保障无线客户端和数据安全到审核和控制Wi-Fi连接,本文推荐了一些确保当今企业网络安全性和完整性的最佳方法。
传统的防御通常都部署在互联网主机上,包括文件加密、反病毒和个人防火墙程序,都应该用于Wi-Fi客户端。这些措施可以使Wi-Fi客户端与TCP/IP入侵隔离开来,如在一些网络热点主机中的无意的文件共享和蠕虫泛滥。
然而,这些措施并不能阻止那些危险的Wi-Fi连接。新的客户防御需要防止雇员与邻近的WLAN或恶意站点连接。一些未受策略控制的连接是有企图的,用于绕过公司对个人电子邮件或P2P的阻止功能。不过,大多数都是非故意的,可能由某些“零配置”("zero config")软件所引起。不管怎么说,未授权的Wi-Fi连接会由于将关键数据暴露在外而损害公司的信息资产。
为了重新获得对雇员Wi-Fi的管理和控制,需要配置所有的客户端,使其只能与经过授权的服务集标识符(SSID)相联系。因为服务集标识符是无线接入的身份标识符,是无线网络用于定位服务的一项功能,用户用它来建立与接入点之间的连接。除非企业需要,一定要拒绝所有的未事先规定的连接。为了得到最好的结果,务必采用集中化的管理策略,例如,Windows的Wi-Fi连接参数可以通过活动目录组策略对象来配置。为了阻止雇员自己增加连接,可以使用一个支持对客户端配置进行锁定的第三方的管理工具。
为了自动断开不安全的连接,需要在每一台客户端上部署一个常驻主机的Wi-Fi入侵防御程序。一个常驻主机的Wi-Fi入侵防御程序能够密切注视家用的和热点WLAN中的公司膝上型电脑,需要采取措施以加强已定义的Wi-Fi策略。在公司网络的内部和外部,需要控制在什么地方及用什么手段允许与Wi-Fi的连接,这是保护职工免受恶意攻击和所有的常见无线网络错误的唯一可靠方法。
第二招:保障数据传输安全
无线网络缺乏有线以太网络所固有的物理安全性。因为墙壁、门窗、地板不能有效地包含Wi-Fi传输,所以需要采取新的防御手段来阻止对企业数据的窃听、伪造和重放攻击(replay-attack)。
责编:豆豆技术应用